瑞星卡卡安全论坛

今天上Q不小心接收一个文件
那个文件让我完完全全的被人远程操控···
我除了关机按钮可以直接按以外   
其他都无法操作   
用瑞星全盘查杀也无法删除
而且文件还隐藏起来了

求高手指导！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 627; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: SREngLOG.log

建议楼主使用System Repair Engineer扫描日志，将日志作为附件上传上来。下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将“SREngLOG.log”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.

谢谢
我试试

建议使用费尔木马文件删除工具删除以下文件（先上传至www.virustotal.com看看有没有毒，有的话再删除）
下载地址：http://bbs.ikaka.com/showtopic-8442813.aspx
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\documents and settings\all users\application data\storm\update\%sessionname%\gvrqg.pic
c:\windows\system32\lt.sys


2.删除重启后使用SREng（就是楼上建议楼主使用的扫描工具）修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[Messenger / Messenger]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[ltsj / ltsj]    <\??\C:\WINDOWS\system32\lt.sys>


还有，最好到相同版本的未中毒电脑上考一个winlogon.exe文件覆盖到C:\WINDOWS\system32\目录下，感觉病毒替换了winlogon.exe。

如果以上的方法，楼主都不能解决问题，建议楼主重装系统，全盘格式化，肯定能解决问题，而且很彻底